Ransom.Win32.LOCKBIT.YEBGW

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

身代金要求文書のファイルを作成します。 以下のファイル拡張子を持つファイルは暗号化しません。

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、以下のファイルを作成します。

• %User Temp%\{4 Hex Characters}.tmp.bmp → Used as Wallpaper.

(註：%User Temp%フォルダは、現在ログオンしているユーザの一時フォルダです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザー名＞\Local Settings\Temp"です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\AppData\Local\Temp" です。)

マルウェアは、以下のプロセスを追加します。

• %System%\cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
• %System%\mshta.exe %Desktop%\LockBit_Ransomware.hta {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}
• %System%\cmd.exe /C ping 127.0.0.7 -n 3 > Nul & fsutil file setZeroData offset=0 length=524288 "{Malware Filepath}\{Malware Filename}" & Del /f /q "{Malware Filepath}\{Malware Filename}"

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.. %Desktop%フォルダは、現在ログオンしているユーザのデスクトップです。Windows 2000(32-bit)、XP、Server 2003(32-bit)の場合、通常 "C:\Documents and Settings\＜ユーザ名＞\Desktop" です。また、Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit)、10(64-bit)の場合、通常 "C:\Users\＜ユーザ名＞\Desktop" です。)

マルウェアは、以下の Mutex を作成し、メモリ上で自身の重複実行を避けます。

• {D028A5BF-D028-A31F-9BF8-DBCBCB5CDB55}

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{F068DCBF-2828-A337-9BF8-9BCB3D5CBF55} = {Malware Filepath}\{Malware Filename}.exe

他のシステム変更

マルウェアは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\7D68A5BF281FF8
Private = {Hex Values}

HKEY_CURRENT_USER\Software\7D68A5BF281FF8
Public = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
.lockbit
(Default) = Lockbit

HKEY_CLASSES_ROOT\Lockbit
(Default) = Lockbit Class

HKEY_CLASSES_ROOT\Lockbit\DefaultIcon
(Default) = %System%\{random}.ico

HKEY_CLASSES_ROOT\Lockbit\shell\
Open\Command
(Default) = %System%\mshta.exe %Desktop%\LockBit_Ransomware.hta

マルウェアは、以下のレジストリ値を変更し、デスクトップの壁紙を変更します。

HKEY_CURRENT_USER\Control Panel\Desktop
Wallpaper = %User Temp%\{4 Hex Characters}.tmp.bmp

HKEY_CURRENT_USER\Control Panel\Desktop
WallpaperStyle = 2

HKEY_CURRENT_USER\Control Panel\Desktop
TileWallpaper = 0

マルウェアは、コンピュータのデスクトップの壁紙に以下の画像を設定します。

プロセスの終了

マルウェアは、感染コンピュータ上で確認した以下のサービスを終了します。

• AcronisAgent
• AcrSch2Svc
• ARSM
• backup
• BackupExecAgentAccelerator
• BackupExecAgentBrowser
• BackupExecDiveciMediaService
• BackupExecJobEngine
• BackupExecManagementService
• BackupExecRPCService
• BackupExecVSSProvider
• bedbg
• CAARCUpdateSvc
• CASAD2DWebSvc
• ccEvtMgr
• ccSetMgr
• Culserver
• dbeng8
• dbsrv12
• DefWatch
• FishbowlMySQL
• Intuit.QuickBooks.FCS
• memtas
• mepocs
• MSExchange
• MSExchange$
• msftesql-Exchange
• msmdsrv
• MSSQL
• MSSQL$
• MSSQL$KAV_CS_ADMIN_KIT
• MSSQL$MICROSOFT##SSEE
• MSSQL$MICROSOFT##WID
• MSSQL$MICROSOFT##WID
• MSSQL$SBSMONITORING
• MSSQL$SHAREPOINT
• MSSQL$VEEAMSQL2012
• MSSQLFDLauncher$SBSMONITORING
• MSSQLFDLauncher$SHAREPOINT
• MSSQLServerADHelper100
• MVArmor
• MVarmor64
• MySQL57
• PDVFSService
• QBCFMonitorService
• QBFCService
• QBIDPService
• QBVSS
• RTVscan
• SavRoam
• sophos
• sql
• sqladhlp
• SQLADHLP
• sqlagent
• SQLAgent$KAV_CS_ADMIN_KIT
• SQLAgent$SBSMONITORING
• SQLAgent$SHAREPOINT
• SQLAgent$VEEAMSQL2012
• sqlbrowser
• SQLBrowser
• Sqlservr
• SQLWriter
• stc_raw_agent
• svc$
• tomcat6
• veeam
• VeeamDeploymentService
• VeeamNFSSvc
• VeeamTransportSvc
• vmware-converter
• vmware-usbarbitator64
• VSNAPVSS
• vss
• wrapper
• WSBExchange
• YooBackup
• YooIT
• zhudongfangyu

マルウェアは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• 360doctor.exe
• 360se.exe
• acwebbrowser.exe
• ADExplorer.exe
• ADExplorer64.exe
• ADExplorer64a.exe
• Adobe CEF.exe
• Adobe Desktop Service.exe
• AdobeCollabSync.exe
• AdobeIPCBroker.exe
• agntsvc.exe
• AutodeskDesktopApp.exe
• Autoruns.exe
• Autoruns64.exe
• Autoruns64a.exe
• Autorunsc.exe
• Autorunsc64.exe
• Autorunsc64a.exe
• avz.exe
• axlbridge.exe
• bedbh.exe
• benetns.exe
• bengien.exe
• beserver.exe
• BrCcUxSys.exe
• BrCtrlCntr.exe
• CagService.exe
• CoreSync.exe
• Creative Cloud.exe
• Culture.exe
• dbeng50.exe
• dbsnmp.exe
• Defwatch.exe
• DellSystemDetect.exe
• dumpcap.exe
• encsvc.exe
• EnterpriseClient.exe
• excel.exe
• fbguard.exe
• fbserver.exe
• fdhost.exe
• fdlauncher.exe
• GDscan.exe
• GlassWire.exe
• GWCtlSrv.exe
• Helper.exe
• httpd.exe
• infopath.exe
• InputPersonalization.exe
• isqlplussvc.exe
• j0gnjko1.exe
• java.exe
• koaly-exp-engine-service.exe
• msaccess.exe
• MsDtSrvr.exe
• mspub.exe
• mydesktopqos.exe
• mydesktopservice.exe
• mysqld.exe
• node.exe
• notepad.exe
• notepad++.exe
• ocautoupds.exe
• ocomm.exe
• ocssd.exe
• onenote.exe
• ONENOTEM.exe
• oracle.exe
• outlook.exe
• powerpnt.exe
• ProcessHacker.exe
• Procexp.exe
• Procexp64.exe
• procexp64a.exe
• procmon.exe
• procmon64.exe
• procmon64a.exe
• pvlsvr.exe
• QBDBMgr.exe
• QBDBMgrN.exe
• QBIDPService.exe
• qbupdate.exe
• QBW32.exe
• Raccine.exe
• Raccine_x86.exe
• RaccineElevatedCfg.exe
• RaccineSettings.exe
• RAgui.exe
• raw_agent_svc.exe
• RdrCEF.exe
• RTVscan.exe
• sam.exe
• Simply.SystemTrayIcon.exe
• SimplyConnectionManager.exe
• sqbcoreservice.exe
• sqlbrowser.exe
• sqlmangr.exe
• Sqlservr.exe
• Ssms.exe
• steam.exe
• supervise.exe
• sync-taskbar.exe
• synctime.exe
• sync-worker.exe
• Sysmon.exe
• Sysmon64.exe
• SystemExplorer.exe
• SystemExplorerService.exe
• SystemExplorerService64.exe
• tbirdconfig.exe
• tcpview.exe
• tcpview64.exe
• tcpview64a.exe
• tdsskiller.exe
• TeamViewer.exe
• TeamViewer_Service.exe
• thebat.exe
• thunderbird.exe
• TitanV.exe
• tomcat6.exe
• Totalcmd.exe
• Totalcmd64.exe
• tv_w32.exe
• tv_x64.exe
• VeeamDeploymentSvc.exe
• visio.exe
• vsnapvss.exe
• vxmon.exe
• wdswfsafe.exe
• winword.exe
• WireShark.exe
• wordpad.exe
• wsa_service.exe
• wxServer.exe
• wxServerView.exe
• xfssvccon.exe
• ZhuDongFangYu.exe

その他

マルウェアは、以下のレジストリキーを追加します。

HKEY_CURRENT_USER\Software\7D68A5BF281FF8

マルウェアは、以下を実行します。

• It has the capability to print the ransom note in infected machines.
• It encrypts files found in the following drive types:
  • Fixed drive
  • Removable drive
  • Network drive
  • RAM Disks

マルウェアは、以下のパラメータを受け取ります。

• {File Name or File Path to Encrypt} - if unspecified, the malware will infect all files except for the avoided ones.

ランサムウェアの不正活動

マルウェアは、ファイル名に以下の文字列を含むファイルの暗号化はしません。

• autorun.inf
• bootsect.bak
• iconcache.db
• ntldr
• ntuser.dat.log
• Restore-My-Files.txt
• thumbs.db

マルウェアは、ファイルパスに以下の文字列を含むファイルの暗号化はしません。

• $recycle.bin
• $windows.~bt
• $windows.~ws
• all users
• appdata
• application data
• boot
• common files
• google
• intel
• internet explorer
• microsoft
• microsoft shared
• microsoft.net
• mozilla
• msbuild
• msocache
• opera
• perflogs
• system volume information
• tor browser
• windows
• windows journal
• windows nt
• windows.old

マルウェアは、以下の名称を利用して暗号化されたファイルのファイル名を改称します。

• {Original Filename}.{Original File Extension}.lockbit

マルウェアが作成する以下のファイルは、脅迫状です。

• %Desktop%\Lockbit_Ransomware.hta
  

マルウェアは、以下の内容を含む脅迫状のテキストファイルを残します。

• {Encrypted Directory}\Restore-My-Files.txt
  

以下のファイル拡張子を持つファイルについては暗号化しません：

• .386
• .adv
• .ani
• .apk
• .app
• .bat
• .bin
• .cmd
• .com
• .cpl
• .cur
• .diagcab
• .diagcgf
• .diagpkg
• .dll
• .dmg
• .dmp
• .drv
• .drv
• .exe
• .fnt
• .fon
• .gadget
• .hlp
• .hlp
• .hta
• .icns
• .ico
• .ics
• .idx
• .ini
• .ipa
• .iso
• .key
• .lnk
• .lock
• .lockbit
• .mod
• .mp3
• .mp4
• .mpa
• .msc
• .msi
• .msstyles
• .msp
• .msu
• .msu
• .nls
• .ocx
• .otf
• .part
• .pif
• .prf
• .rdp
• .reg
• .rom
• .rtp
• .sfcache
• .shs
• .spl
• .sys
• .theme
• .tmp
• .ttf
• .wad
• .wav
• .wma
• .woff
• .wpx
• .xex